您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
工業(yè)互聯(lián)網(wǎng)安全能力指南(概況)
工業(yè)互聯(lián)網(wǎng)已經(jīng)成為了各方關(guān)注的焦點(diǎn)。但是,與工業(yè)互聯(lián)網(wǎng)相關(guān)的安全事故也頻頻發(fā)生,安全已經(jīng)不可忽視。數(shù)世咨詢的《工業(yè)互聯(lián)網(wǎng)安全能力指南》將從工業(yè)互聯(lián)網(wǎng)安全防護(hù)能力、工業(yè)互聯(lián)網(wǎng)安全按檢測(cè)/審計(jì)能力、工業(yè)互聯(lián)網(wǎng)安全服務(wù)能力、工業(yè)互聯(lián)網(wǎng)安全靶場(chǎng)能力、以及工業(yè)互聯(lián)網(wǎng)安全管理平臺(tái)能力,五個(gè)維度,對(duì)工業(yè)互聯(lián)網(wǎng)安全能力進(jìn)行分析。
由于內(nèi)容篇幅較長(zhǎng),本報(bào)告先會(huì)分批發(fā)布,最終還會(huì)合并發(fā)布完整版。第一部分將以整體工業(yè)互聯(lián)網(wǎng)安全概念為主。
前言
近幾年來,和工業(yè)相關(guān)的嚴(yán)重安全事故頻發(fā),工業(yè)互聯(lián)網(wǎng)相關(guān)的安全已經(jīng)到了不可不關(guān)注的時(shí)刻。
工業(yè)的自動(dòng)化、信息化,以及最終需要達(dá)到的數(shù)字化,其目的都是為了能夠在減少人力的情況下,更為高效地進(jìn)行工業(yè)生產(chǎn)。尤其在一些如高污染、高溫、低溫等的極端環(huán)境下,更需要通過自動(dòng)化的能力,減少人力的使用,保障工人的生命安全。另一方面,基礎(chǔ)設(shè)施的互聯(lián)互通,使“智慧城市”得以實(shí)現(xiàn)。通過技術(shù)手段,將整個(gè)城市的基礎(chǔ)設(shè)施系統(tǒng)可視化,提升資源運(yùn)用的效率、優(yōu)化城市的管理和服務(wù),為居民的生活提供便利,并為城市的進(jìn)一步發(fā)展打下堅(jiān)實(shí)的基礎(chǔ)。
然而,無論是“智能制造”,還是“智慧城市”,都離不開對(duì)網(wǎng)絡(luò)的構(gòu)建。一度非常封閉的工業(yè)生產(chǎn)環(huán)境也隨著OT與IT的融合,變得略為開放。但是,開放帶來的不僅是便利與智能,同樣也引入了更多的攻擊面和威脅。烏克蘭與委內(nèi)瑞拉的停電事件、臺(tái)積電與Colonial Pipeline的勒索病毒攻擊事件都標(biāo)志著工業(yè)互聯(lián)網(wǎng)的安全已經(jīng)到了迫在眉睫的地步。工業(yè)網(wǎng)絡(luò)的安全必要性已經(jīng)不再只是滿足合規(guī)的要求,而是要能夠解決真實(shí)可見的威脅。
安全需要從底層做起,工業(yè)互聯(lián)網(wǎng)的安全也一樣。大部分工業(yè)企業(yè)依然處于數(shù)字化轉(zhuǎn)型的起步過程當(dāng)中,只專注于業(yè)務(wù)與生產(chǎn)。但是,事實(shí)上,數(shù)字化轉(zhuǎn)型對(duì)工業(yè)企業(yè)而言,也是一個(gè)從零開始實(shí)現(xiàn)安全生產(chǎn)的新機(jī)會(huì)。數(shù)字化轉(zhuǎn)型一定程度上意味著企業(yè)的技術(shù)架構(gòu)的升級(jí),甚至是再規(guī)劃——如果從這個(gè)階段起,就將安全能力作為設(shè)計(jì)的一部分,就可以極大減少之后將安全作為額外能力的投入成本。將安全與生產(chǎn)并進(jìn),才能最大程度地保障生產(chǎn)的安全性。
本報(bào)告希望能通過對(duì)工業(yè)互聯(lián)網(wǎng)一系列的能力的梳理,協(xié)助相關(guān)工業(yè)企業(yè)的安全規(guī)劃。
關(guān)鍵發(fā)現(xiàn)
? 工業(yè)互聯(lián)網(wǎng)的安全驅(qū)動(dòng)力主要有四個(gè)方面:國(guó)家安全、政策合規(guī)、工業(yè)協(xié)議缺陷、以及行業(yè)數(shù)字化轉(zhuǎn)型的安全需求。
? 工業(yè)互聯(lián)網(wǎng)的安全有雙重性:系統(tǒng)安全(Security)與生產(chǎn)安全(Safety)。隨著工業(yè)互聯(lián)網(wǎng)越來越多的互聯(lián)與開放,系統(tǒng)安全對(duì)生產(chǎn)安全的影響逐步擴(kuò)大。
? 工業(yè)互聯(lián)網(wǎng)安全的落地難度不僅在于工業(yè)場(chǎng)景自身的特點(diǎn),同樣受限于不同工業(yè)企業(yè)本身IT能力的發(fā)展差距。
? 工業(yè)互聯(lián)網(wǎng)的安全能力落地按照“先防護(hù),再檢測(cè)/審計(jì),持續(xù)服務(wù),平臺(tái)統(tǒng)一,靶場(chǎng)進(jìn)階”的順序。
? 工業(yè)互聯(lián)網(wǎng)由于非常重視“業(yè)務(wù)連續(xù)性”,在安全性上就需要很大程度的妥協(xié),因此要做好長(zhǎng)期與威脅共存的準(zhǔn)備。
一、工業(yè)互聯(lián)網(wǎng)安全概念與總體市場(chǎng)情況
1、工業(yè)互聯(lián)網(wǎng)概念
工業(yè)控制系統(tǒng)一度是一個(gè)相對(duì)封閉的環(huán)境。在工業(yè)生產(chǎn)環(huán)境中,只需要設(shè)備按照要求,完成相關(guān)任務(wù)即可——在這個(gè)情況下,工業(yè)生產(chǎn)環(huán)境中的設(shè)備并不需要和外部有聯(lián)系,只需要能夠在生產(chǎn)環(huán)境中形成局部的操作技術(shù)(Operational Technology, OT)網(wǎng)絡(luò)。
但是,隨著“工業(yè)4.0”、“智能制造”概念的提出,工業(yè)相關(guān)企業(yè)需要一次全面的轉(zhuǎn)型,通過數(shù)據(jù)分析、整體企業(yè)統(tǒng)一協(xié)同管理等能力,創(chuàng)造更高效、更安全的自動(dòng)化生產(chǎn)環(huán)境。在這一過程中,會(huì)有大量的設(shè)備、系統(tǒng)接入。
首先,企業(yè)生產(chǎn)環(huán)境本身會(huì)有更多的設(shè)備接入,比如傳感器、遙測(cè)儀、監(jiān)控器等。這些設(shè)備能夠采集生產(chǎn)環(huán)境中的相關(guān)數(shù)據(jù),進(jìn)行進(jìn)一步的分析,從而確認(rèn)生產(chǎn)環(huán)境的安全狀況。在業(yè)務(wù)層面,對(duì)這些數(shù)據(jù)進(jìn)行深度挖掘,可以發(fā)現(xiàn)生產(chǎn)過程中的瓶頸,找到提高生產(chǎn)效率的方案。
另一方面,由于數(shù)據(jù)分析很難完全在生產(chǎn)環(huán)境中進(jìn)行,因此需要傳輸?shù)狡渌恢眠M(jìn)行分析——如云端。這就不可避免地使生產(chǎn)環(huán)境走向開放,需要與外界網(wǎng)絡(luò)逐漸打通。另一方面,工業(yè)生產(chǎn)技術(shù)也逐漸需要和企業(yè)業(yè)務(wù)發(fā)展相關(guān)聯(lián)——比如人員的權(quán)限管理、客戶的生產(chǎn)需求、整體項(xiàng)目的管理等。工業(yè)生產(chǎn)環(huán)境不再是分割的生產(chǎn)實(shí)體,而是基于企業(yè)總體的發(fā)展規(guī)劃和業(yè)務(wù)需求,自上而下的實(shí)現(xiàn)環(huán)境。因此,無論是從技術(shù)需求的角度,還是業(yè)務(wù)發(fā)展的角度,工業(yè)生產(chǎn)環(huán)境中的OT網(wǎng)絡(luò),與企業(yè)管理的IT網(wǎng)絡(luò),最終要相融合。
在2020年,由工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟發(fā)布的《工業(yè)互聯(lián)網(wǎng)體系架構(gòu)(版本2.0)》提供了如下的工業(yè)互聯(lián)網(wǎng)實(shí)施框架總體視圖:
圖片來源:《工業(yè)互聯(lián)網(wǎng)體系架構(gòu)(版本2.0)》
從這張圖中,我們可以發(fā)現(xiàn),工業(yè)互聯(lián)網(wǎng)不僅僅是設(shè)備的連接,更需要工業(yè)互聯(lián)網(wǎng)平臺(tái)作為賦能。完整的工業(yè)互聯(lián)網(wǎng),需要生產(chǎn)機(jī)器、控制設(shè)備、信息系統(tǒng)、以及人員的聯(lián)動(dòng)才能實(shí)現(xiàn)。工業(yè)互聯(lián)網(wǎng)要能夠通過生產(chǎn)時(shí)產(chǎn)生的信息,進(jìn)行分析,也要能夠支撐智能化的生產(chǎn),以及基于企業(yè)業(yè)務(wù)變化的靈活變更。
工業(yè)互聯(lián)網(wǎng)并非是企業(yè)個(gè)體的能力,也是國(guó)家發(fā)展的需求,離不開國(guó)家的監(jiān)管與支持。在企業(yè)的層級(jí)之上,需要政府層面的整體監(jiān)管和把控。同時(shí),國(guó)家也能夠通過國(guó)家級(jí)的工業(yè)互聯(lián)網(wǎng)平臺(tái)對(duì)全國(guó)的工業(yè)發(fā)展進(jìn)行分析,為未來的發(fā)展方向做決策和引導(dǎo)。
2、本報(bào)告中的工業(yè)互聯(lián)網(wǎng)安全概念
完整的工業(yè)互聯(lián)網(wǎng)實(shí)現(xiàn)離不開IT與OT的高度融合。整個(gè)工業(yè)互聯(lián)網(wǎng)的運(yùn)行需要生產(chǎn)機(jī)器的正常運(yùn)作、采集設(shè)備對(duì)數(shù)據(jù)的采集以及傳輸、相關(guān)系統(tǒng)與儀器對(duì)數(shù)據(jù)的存儲(chǔ)、以及邊緣設(shè)備和平臺(tái)側(cè)的計(jì)算和分析。那么,完整的工業(yè)互聯(lián)網(wǎng)安全理論上,是需要能夠涵蓋整體的運(yùn)作、采集、存儲(chǔ)和分析的安全需求。
然而,在實(shí)際落地過程中,IT與OT的融合進(jìn)度還處于相當(dāng)早期的地步。事實(shí)上,許多工業(yè)企業(yè)的數(shù)字化轉(zhuǎn)型依然處于建立完善的OT網(wǎng)絡(luò)階段。因此,本報(bào)告中的工業(yè)互聯(lián)網(wǎng)安全的概念為:對(duì)OT相關(guān)場(chǎng)景進(jìn)行防護(hù)的信息安全能力,包括對(duì)OT場(chǎng)景的防護(hù)、檢測(cè)、審計(jì)、管理、監(jiān)管、安全驗(yàn)證、安全能力培訓(xùn)等。
從《工業(yè)互聯(lián)網(wǎng)體系架構(gòu)(版本2.0)》實(shí)施框架總體視圖來看,本報(bào)告的調(diào)研范圍主要集中在設(shè)備層與邊緣層,以及企業(yè)層與產(chǎn)業(yè)層中的安全平臺(tái)相關(guān)解決方案中,對(duì)工業(yè)控制系統(tǒng)與工業(yè)生產(chǎn)環(huán)境中涉及到的信息安全。
本次調(diào)研分為五個(gè)方向進(jìn)行,分別是工業(yè)互聯(lián)網(wǎng)安全檢測(cè)/審計(jì)能力、工業(yè)互聯(lián)網(wǎng)安全防御能力、工業(yè)互聯(lián)網(wǎng)安全服務(wù)能力、工業(yè)互聯(lián)網(wǎng)靶場(chǎng)能力、以及工業(yè)互聯(lián)網(wǎng)安全管理平臺(tái)能力。
3、工業(yè)互聯(lián)網(wǎng)安全總體市場(chǎng)情況
工業(yè)互聯(lián)網(wǎng)安全在2021年中國(guó)數(shù)字安全能力圖譜中,屬于行業(yè)環(huán)境分類。其中,下屬還有“工控系統(tǒng)安全”、“安全管理平臺(tái)”、“安全服務(wù)”、“工控靶場(chǎng)”四個(gè)分類。本次報(bào)告中,將工控系統(tǒng)安全分為“工控防護(hù)能力”與“工控檢測(cè)/審計(jì)能力”兩個(gè)部分,其余三個(gè)分類一一對(duì)應(yīng)。
根據(jù)本次調(diào)研的方向,2019年我國(guó)工業(yè)互聯(lián)網(wǎng)安全收入總體約為17.4億元,2020年總體收入約為33.8億元,預(yù)計(jì)2021年收入為50.3億元,2022年有望達(dá)到70億元。
而從工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品的總體銷售區(qū)域來看,華北(包括東北)與華南占據(jù)了主要銷售區(qū)域,一定程度上反應(yīng)了我國(guó)當(dāng)前的工業(yè)互聯(lián)網(wǎng)部署需求。從未來幾年來看,智慧城市帶動(dòng)的城市基礎(chǔ)設(shè)施安全需求會(huì)進(jìn)一步推動(dòng)?xùn)|部沿海城市對(duì)工業(yè)互聯(lián)網(wǎng)安全的需求。同時(shí),隨著國(guó)家對(duì)西北、西南的進(jìn)一步開發(fā),長(zhǎng)遠(yuǎn)來看,這兩個(gè)區(qū)域也會(huì)有對(duì)工業(yè)互聯(lián)網(wǎng)安全解決方案需求的大幅度提升。
二、工業(yè)互聯(lián)網(wǎng)安全建設(shè)的必要性與驅(qū)動(dòng)力
1、國(guó)家:國(guó)家安全的保障
工業(yè)場(chǎng)景的安全有著兩重性:系統(tǒng)安全(Security)以及生產(chǎn)安全(Safety)。系統(tǒng)安全意為對(duì)工業(yè)控制系統(tǒng)、工業(yè)網(wǎng)絡(luò)自身進(jìn)行保護(hù)的行為與過程,而生產(chǎn)安全則是指工業(yè)控制系統(tǒng)對(duì)非工業(yè)控制系統(tǒng)、工業(yè)網(wǎng)絡(luò)本身的影響,如是否會(huì)造成人員傷亡、產(chǎn)生環(huán)境污染等。(本報(bào)告中將“系統(tǒng)安全”簡(jiǎn)稱為“安全”)
在封閉環(huán)境下,系統(tǒng)安全對(duì)安全狀態(tài)的影響相對(duì)較小。但是,當(dāng)工業(yè)生產(chǎn)環(huán)境逐漸隨著網(wǎng)絡(luò)變得開放的時(shí)候,系統(tǒng)安全對(duì)生產(chǎn)安全的影響會(huì)逐漸增大。事實(shí)上,在2021年1月,美國(guó)舊金山地區(qū)的供水系統(tǒng)就遭到攻擊。無獨(dú)有偶,2021年2月,美國(guó)佛羅里達(dá)州地區(qū)一個(gè)小鎮(zhèn)的供水系統(tǒng)同樣遭到攻擊,攻擊者試圖將水中的氫氧化鈉含量增加到100倍,實(shí)現(xiàn)區(qū)域性的“投毒”。這些攻擊,都被防御系統(tǒng)所攔截。
因此,工業(yè)互聯(lián)網(wǎng)的安全性已經(jīng)不只是局限于數(shù)據(jù)保密性與完整性的安全、業(yè)務(wù)可持續(xù)的安全,而是真真切切直接關(guān)系到人民的人生安全與社會(huì)的穩(wěn)定。對(duì)于處于數(shù)字化轉(zhuǎn)型的工業(yè)生產(chǎn)環(huán)境,越多的系統(tǒng)與設(shè)備的連接,意味著越多的攻擊面,在基礎(chǔ)設(shè)施、化工、能源等生產(chǎn)事故可能造成極大人員傷亡與社會(huì)影響的場(chǎng)景中,工業(yè)互聯(lián)網(wǎng)的安全應(yīng)該作為第一考量。
國(guó)家角度來看,工業(yè)互聯(lián)網(wǎng)安全是國(guó)之大計(jì),是必須貫徹執(zhí)行的安全方向。
2、企業(yè):政策合規(guī)的驅(qū)動(dòng)
盡管工業(yè)互聯(lián)網(wǎng)會(huì)影響工業(yè)生產(chǎn)環(huán)境的安全,但是鑒于大部分企業(yè)依然處于工業(yè)數(shù)字化轉(zhuǎn)型的起步期,在認(rèn)知上對(duì)于IT化以后,生產(chǎn)環(huán)境會(huì)面臨的威脅依然不足。這個(gè)時(shí)候,就會(huì)由政策與合規(guī)要求進(jìn)行強(qiáng)驅(qū)動(dòng)。
除了等保2.0的要求之外,工信部印發(fā)的《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》、《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》、《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018-2020年)》都為相關(guān)企業(yè)提供了工業(yè)互聯(lián)網(wǎng)安全的落地指導(dǎo)作用。2021年9月開始實(shí)行的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》更是直指對(duì)國(guó)家與人民息息相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施安全。
盡管一方面來看,僅僅為了合規(guī),為了符合政策需求而購買、使用工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品與能力,并不能真正保護(hù)好相關(guān)場(chǎng)景;但是,法律層面的驅(qū)動(dòng),至少能劃下安全的底線,從強(qiáng)要求、強(qiáng)監(jiān)管開始,督促相關(guān)企業(yè)重視安全,積累一定的安全能力。另一方面,由于大量工業(yè)企業(yè)對(duì)OT安全依然處于起步期,即使逐漸開始意識(shí)到工業(yè)生產(chǎn)場(chǎng)景中OT安全的重要性,但是卻缺乏具體安全落地的方向與能力;政策與合規(guī)要求不僅僅提供的是一個(gè)法律層面的底線,也是為相關(guān)企業(yè)提供安全落地的一個(gè)指導(dǎo)方向。
企業(yè)角度來看,政策與合規(guī)帶有強(qiáng)制與指導(dǎo)的雙重意義,是企業(yè)落實(shí)工業(yè)互聯(lián)網(wǎng)安全能力的第一驅(qū)動(dòng)力。
3、技術(shù):工業(yè)協(xié)議自身的缺陷
工業(yè)控制設(shè)備會(huì)根據(jù)不同的供應(yīng)商,使用不同的協(xié)議,因此工業(yè)系統(tǒng)本身存在著復(fù)雜多樣的協(xié)議。然而,這些協(xié)議本身也會(huì)存在漏洞。即使如Modbus、ICE104、PROFINET等主流協(xié)議,在設(shè)計(jì)之初都是為了實(shí)現(xiàn)業(yè)務(wù)的流暢運(yùn)行,在追求時(shí)效性和流暢性的同時(shí),不可避免地犧牲了一部分安全性,容易被攻擊者利用。
另一方面,同樣被廣泛使用的OPC協(xié)議,其架構(gòu)基于Windows平臺(tái),從而也“繼承”了許多Windows平臺(tái)中存在的漏洞,同樣能被攻擊者利用。
技術(shù)角度來看,單獨(dú)的工業(yè)控制系統(tǒng)本身存在著一定的安全問題,需要額外的安全手段進(jìn)行保護(hù)。
4、行業(yè):數(shù)字化轉(zhuǎn)型的保險(xiǎn)
2021年5月發(fā)生的Colonial Pipeline事件,導(dǎo)致全美部分區(qū)域的輸油管道無法使用,造成全球油價(jià)浮動(dòng)以及美國(guó)東北部石油使用困難。值得注意的是,該攻擊本身并非直接針對(duì)Colonial Pipeline的輸油管道系統(tǒng),而是對(duì)Colonial Pipeline的IT系統(tǒng)發(fā)起的勒索病毒攻擊——最終使該公司中斷各類系統(tǒng),包括輸油管道相關(guān)的OT系統(tǒng)。
對(duì)于工業(yè)企業(yè)的數(shù)字化轉(zhuǎn)型,IT與OT環(huán)境的融合是一個(gè)關(guān)鍵。IT與OT融合,能夠更有效地使用工業(yè)生產(chǎn)中生成的數(shù)據(jù),改進(jìn)生產(chǎn)業(yè)務(wù)的模式,提升生產(chǎn)效率;同時(shí),也能夠通過IT系統(tǒng)自上而下,對(duì)生產(chǎn)環(huán)境以及非生產(chǎn)環(huán)境進(jìn)行統(tǒng)一的管理。然而,IT環(huán)境往往會(huì)更加開放,從而增大攻擊面。最終,工業(yè)控制系統(tǒng)本身,乃至整個(gè)生產(chǎn)環(huán)境可能并未直接遭到攻擊,但是由于上層的IT系統(tǒng)遭到攻擊被中斷,依然會(huì)讓生產(chǎn)環(huán)境的業(yè)務(wù)中斷。
以防護(hù)策略來看,保護(hù)好上層的IT系統(tǒng)固然是一個(gè)必須采取的安全防護(hù)措施。但是,如果因?yàn)樯蠈拥哪硞€(gè)位置遭到攻擊,就導(dǎo)致整個(gè)生產(chǎn)系統(tǒng)癱瘓,這無疑會(huì)產(chǎn)生新的攻擊策略——通過單點(diǎn)故障,從上層系統(tǒng)進(jìn)行降維打擊。在理想狀態(tài)下,需要能夠做到IT與OT融合的同時(shí),OT環(huán)境本身的安全性能夠抵御因上層IT系統(tǒng)淪陷產(chǎn)生的安全隱患,在上層IT系統(tǒng)下線的情況下,依然能夠安全、有效地執(zhí)行業(yè)務(wù)——這是一個(gè)極其理想的狀態(tài),但是值得工業(yè)生產(chǎn)環(huán)境中的所有利益相關(guān)方去探索。
整個(gè)行業(yè)來看,數(shù)字化轉(zhuǎn)型成功必然需要完成IT與OT的融合,但是這一結(jié)合的過程也必然會(huì)帶來新的威脅,需要IT與OT兩個(gè)方向協(xié)同去解決相關(guān)的安全問題。
三、工業(yè)互聯(lián)網(wǎng)安全當(dāng)前落地難點(diǎn)
在工業(yè)互聯(lián)網(wǎng)環(huán)境里,傳統(tǒng)IT安全中的機(jī)密性、完整性與可用性在理論上依然有一定價(jià)值——但是在實(shí)踐中,卻容易受限于工業(yè)場(chǎng)景的需求。工業(yè)場(chǎng)景由于其特殊性,需要一種相對(duì)不同的方式來進(jìn)行安全實(shí)踐。另一方面,工業(yè)企業(yè)本身,由于對(duì)網(wǎng)絡(luò)技術(shù)的實(shí)踐總體更為滯后,因此無論是IT層面,還是OT層面的安全,在落地過程中都會(huì)遇到不小的困難。
1、生產(chǎn)大于安全
工業(yè)生產(chǎn)環(huán)境中最大的特點(diǎn),就是生產(chǎn)穩(wěn)定性高于一般安全性——即在不會(huì)直接影響正常生產(chǎn)的情況時(shí),安全性可以被犧牲。這一點(diǎn)可以理解,因?yàn)閷?duì)于工業(yè)生產(chǎn)環(huán)境而言,生產(chǎn)機(jī)器的啟動(dòng)本身就極有可能消耗極大的人力和物力,而局部機(jī)器的停止運(yùn)作又有可能影響整體生產(chǎn)的情況——最終造成巨大的經(jīng)濟(jì)損失。另一方面,在關(guān)鍵基礎(chǔ)設(shè)施中,機(jī)器的停運(yùn)也同樣可能對(duì)社會(huì)產(chǎn)生負(fù)面影響。因此,在工業(yè)生產(chǎn)環(huán)境中,生產(chǎn)穩(wěn)定性是最重要的。
但是,這和上文提到的工業(yè)互聯(lián)網(wǎng)中的對(duì)外安全產(chǎn)生了一定的矛盾——一旦攻擊者通過工業(yè)互聯(lián)網(wǎng)成功影響到工控生產(chǎn)環(huán)境,依然可能產(chǎn)生難以估計(jì)的損失——比如美國(guó)發(fā)生的對(duì)供水系統(tǒng)“投毒”事件。這一矛盾,給工業(yè)互聯(lián)網(wǎng)安全帶來了極大的困難與挑戰(zhàn)。
首先,工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品本身不能對(duì)工業(yè)互聯(lián)網(wǎng)生產(chǎn)環(huán)境產(chǎn)生負(fù)面影響。一旦工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品直接會(huì)對(duì)生產(chǎn)環(huán)境產(chǎn)生影響,那么本身就本末倒置了。
其次,工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品要能夠監(jiān)測(cè)出發(fā)生的攻擊事件與異常情況——依然要在不影響工業(yè)互聯(lián)網(wǎng)生產(chǎn)環(huán)境的前提下。這就對(duì)工業(yè)互聯(lián)網(wǎng)安全廠商的安全能力提出了要求。
最后,工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品——或者解決方案,要能夠?qū)Πl(fā)生的攻擊進(jìn)行一定的措施評(píng)估:這是攻擊,還僅僅是異常錯(cuò)誤(如人員操作失誤、機(jī)器故障)?正在發(fā)生的攻擊,產(chǎn)生的后果可能是什么?如果攻擊已經(jīng)進(jìn)行,應(yīng)對(duì)攻擊的方式,是阻斷請(qǐng)求,甚至請(qǐng)求源,還是需要將整個(gè)系統(tǒng)關(guān)閉?
在工業(yè)互聯(lián)網(wǎng)場(chǎng)景中,安全不僅僅要考慮威脅,以及威脅對(duì)系統(tǒng)的影響,更需要考慮威脅與各類應(yīng)對(duì)方式對(duì)現(xiàn)實(shí)產(chǎn)生的影響。
2、協(xié)議復(fù)雜多樣性
一些主流工控協(xié)議本身存在一些缺陷,同時(shí)主流工控協(xié)議總體數(shù)量也相對(duì)較多,不同的生產(chǎn)商的設(shè)備會(huì)采用不同的協(xié)議,這就給安全防護(hù)帶來了極大的難度。
大部分工業(yè)互聯(lián)網(wǎng)安全廠商都能做到對(duì)協(xié)議的識(shí)別,但是落實(shí)到安全能力的實(shí)現(xiàn)時(shí),就需要對(duì)協(xié)議進(jìn)行深度的識(shí)別——而大量不同的協(xié)議無疑是對(duì)廠商協(xié)議研究、分析能力的一大挑戰(zhàn)。
除了主流協(xié)議以外,還存在一些私有協(xié)議,就更需要安全廠商有能力對(duì)陌生的工控協(xié)議有學(xué)習(xí)協(xié)議規(guī)則和行為的能力,從而建立新的安全模型。
3、底層防護(hù)困難
工業(yè)互聯(lián)網(wǎng)另一個(gè)難點(diǎn)在于底層防護(hù)更為困難。工業(yè)設(shè)備往往使用年限會(huì)很長(zhǎng),會(huì)積累大量沒有修復(fù)的漏洞。同時(shí),由于受限于工業(yè)互聯(lián)網(wǎng)本身的業(yè)務(wù)可持續(xù)性要求,以及過去缺乏的安全意識(shí),使得對(duì)這些漏洞的全面修復(fù)幾乎成為不可能。
如果無法從底層對(duì)工業(yè)設(shè)備和系統(tǒng)進(jìn)行防護(hù),就只能將安全能力附加在設(shè)備和系統(tǒng)之上,難以給底層賦予安全能力,通過自身的安全性提升對(duì)威脅的抵抗能力。最終,安全無法從最佳位置開始賦能。
4、企業(yè)不適合接入工業(yè)互聯(lián)網(wǎng)
企業(yè)工業(yè)設(shè)備老舊帶來的另一個(gè)問題,在于老舊設(shè)備與當(dāng)下的IT以及OT能力的不兼容,這些老舊設(shè)備不具備接入工業(yè)互聯(lián)網(wǎng)的條件。但是,對(duì)于相當(dāng)數(shù)量的企業(yè)而言,替換這批設(shè)備需要高額的成本,帶來極大的經(jīng)濟(jì)負(fù)擔(dān),因此會(huì)繼續(xù)使用這些工業(yè)設(shè)備,導(dǎo)致這些企業(yè)本身也不適合接入工業(yè)互聯(lián)網(wǎng)。
在這些企業(yè)不適合接入工業(yè)互聯(lián)網(wǎng)的情況下,雖然能夠確保工業(yè)控制系統(tǒng)與工業(yè)生產(chǎn)環(huán)境的安全,一定程度提升整體的工業(yè)安全情況。但是,對(duì)于國(guó)家層面,監(jiān)管部門很難把握這些企業(yè)的工業(yè)安全態(tài)勢(shì),無法從國(guó)家高度進(jìn)行統(tǒng)一地監(jiān)管與分析。這會(huì)造成在監(jiān)管部門級(jí)別的工業(yè)互聯(lián)網(wǎng)安全管理平臺(tái)的落地效果,無法達(dá)到最好的效果。
而對(duì)于企業(yè)自身而言,也容易形成“安全孤島”,難以通過上級(jí)政府的統(tǒng)籌獲取相關(guān)的威脅情報(bào),從而更好地應(yīng)對(duì)潛在的威脅。
5、工業(yè)互聯(lián)網(wǎng)安全人才短缺
在工業(yè)互聯(lián)網(wǎng)安全的場(chǎng)景中,人才的存在不可或缺。正如前文所提到的,工業(yè)互聯(lián)網(wǎng)安全面臨的另一個(gè)落地難點(diǎn)之一就是業(yè)務(wù)可持續(xù)性與安全之間的平衡,其中的一個(gè)平衡就是安全措施的平衡——采取怎樣的措施是在當(dāng)前生產(chǎn)環(huán)境對(duì)特定威脅最適合的方法。由于工業(yè)生產(chǎn)環(huán)境中對(duì)生產(chǎn)可持續(xù)性的顧慮,工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品自動(dòng)處理能力的使用會(huì)受到一定的限制——這就需要專家根據(jù)實(shí)際的情況進(jìn)行分析決策。
不同于傳統(tǒng)的IT安全,工業(yè)互聯(lián)網(wǎng)安全中的決策可能會(huì)影響更加巨大,需要更為豐富的經(jīng)驗(yàn)。在IT與OT融合的情況下,工業(yè)互聯(lián)網(wǎng)安全人才不僅需要對(duì)IT安全的認(rèn)知,還需要對(duì)OT安全的了解、對(duì)工業(yè)生產(chǎn)環(huán)境本身的積累,這三者缺一不可。尤其是對(duì)工業(yè)生產(chǎn)環(huán)境的積累,不僅僅是浮于知識(shí)層面,而是需要大量在工業(yè)生產(chǎn)環(huán)境中的積累才能獲得。但是,在當(dāng)前情況下,即使局限于工業(yè)控制系統(tǒng)安全,受限于起步較晚,能將三者緊密結(jié)合的工業(yè)控制系統(tǒng)安全專家較少,能夠從更宏觀角度看工業(yè)互聯(lián)網(wǎng)整體安全的專家就更為稀缺。
另外,工業(yè)互聯(lián)網(wǎng)安全人才也不限于對(duì)于工業(yè)控制系統(tǒng)的安全維護(hù),以及在工業(yè)互聯(lián)網(wǎng)中產(chǎn)生的攻防對(duì)抗——工業(yè)互聯(lián)網(wǎng)安全也需要能從頂層設(shè)計(jì)的戰(zhàn)略專家,幫助企業(yè)、乃至國(guó)家,從更為全面的架構(gòu),落地各級(jí)工業(yè)互聯(lián)網(wǎng)安全架構(gòu)。這就要求在IT安全知識(shí)、OT安全知識(shí)、以及工業(yè)互聯(lián)網(wǎng)經(jīng)驗(yàn)的基礎(chǔ)上,再擁有企業(yè)級(jí),甚至國(guó)家級(jí)的實(shí)踐視角與能力。
以上五個(gè)難點(diǎn)只是當(dāng)前工業(yè)互聯(lián)網(wǎng)安全面臨的挑戰(zhàn)。事實(shí)上,另一個(gè)工業(yè)互聯(lián)網(wǎng)安全面臨的難點(diǎn)已經(jīng)逐漸開始浮現(xiàn):工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全。工業(yè)互聯(lián)網(wǎng)平臺(tái)要處理大量的工業(yè)數(shù)據(jù),運(yùn)行各類工業(yè)互聯(lián)網(wǎng)應(yīng)用——工業(yè)數(shù)據(jù)與工業(yè)互聯(lián)網(wǎng)應(yīng)用和傳統(tǒng)的IT數(shù)據(jù)與IT應(yīng)用又會(huì)有一些不同的安全需求。在未來,當(dāng)工業(yè)互聯(lián)網(wǎng)越發(fā)完善的時(shí)候,對(duì)于工業(yè)互聯(lián)網(wǎng)平臺(tái)的保護(hù)會(huì)逐漸成為工業(yè)互聯(lián)網(wǎng)安全必須重視的關(guān)鍵。
四、工業(yè)互聯(lián)網(wǎng)安全實(shí)踐要點(diǎn)
基于工業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)特點(diǎn),在工業(yè)互聯(lián)網(wǎng)安全的落地實(shí)踐上,有如下發(fā)現(xiàn)。
1、長(zhǎng)期威脅共存
我們無法消除環(huán)境中所有的威脅,對(duì)于一些安全風(fēng)險(xiǎn),我們只能選擇減緩其影響、轉(zhuǎn)移風(fēng)險(xiǎn)方或者——接受這個(gè)風(fēng)險(xiǎn)。這一點(diǎn)在IT環(huán)境中如此,在工業(yè)互聯(lián)網(wǎng)中就更為明顯。
工業(yè)企業(yè)的最大特性“生產(chǎn)大于安全”極大限制了工業(yè)互聯(lián)網(wǎng)安全能力對(duì)威脅的消除。在IT環(huán)境中,業(yè)務(wù)部門與安全部門的一大矛盾,往往在于安全修復(fù)、補(bǔ)丁升級(jí)等行為會(huì)導(dǎo)致業(yè)務(wù)一定時(shí)間的中斷,對(duì)業(yè)務(wù)部門的業(yè)績(jī)收入產(chǎn)生影響。但是,在工業(yè)互聯(lián)網(wǎng)環(huán)境中,首先安全升級(jí)導(dǎo)致的業(yè)務(wù)中斷時(shí)間會(huì)大大超過非工業(yè)企業(yè)的中斷時(shí)間;其次,工業(yè)生產(chǎn)業(yè)務(wù)的中斷,除了會(huì)有本身業(yè)務(wù)生產(chǎn)的成本影響之外,還會(huì)有設(shè)備損耗、資源損耗(如恢復(fù)生產(chǎn)狀態(tài)的資源)等成本——最終,使得工業(yè)企業(yè)的業(yè)務(wù)中斷成本遠(yuǎn)遠(yuǎn)高于非工業(yè)企業(yè)的業(yè)務(wù)中斷成本。另一方面,對(duì)于關(guān)鍵基礎(chǔ)設(shè)施相關(guān)企業(yè),業(yè)務(wù)中斷又很有可能對(duì)社會(huì)產(chǎn)生影響,如發(fā)電中斷、軌交中斷等情況。
因此,工業(yè)互聯(lián)網(wǎng)場(chǎng)景中會(huì)往往面對(duì)設(shè)備、系統(tǒng)長(zhǎng)期無法更新、升級(jí)的狀態(tài)——即生產(chǎn)環(huán)境自身的漏洞會(huì)長(zhǎng)期無法進(jìn)行修復(fù),從而累積大量安全隱患。工業(yè)互聯(lián)網(wǎng)安全的理念就無法做到對(duì)威脅能除盡除,而是要能做到和威脅長(zhǎng)期共存的同時(shí),不讓威脅轉(zhuǎn)變成會(huì)造成嚴(yán)重后果的安全事故。
2、先防護(hù)后檢測(cè)
基于工業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)特性,在工業(yè)互聯(lián)網(wǎng)安全落地的順序往往是“先防護(hù),再檢測(cè)/審計(jì),持續(xù)服務(wù),平臺(tái)統(tǒng)一,靶場(chǎng)進(jìn)階”的一個(gè)過程。
對(duì)于工業(yè)企業(yè)而言,確保工業(yè)生產(chǎn)平穩(wěn)、正常地進(jìn)行,是第一要點(diǎn)。因此,工業(yè)互聯(lián)網(wǎng)安全的防護(hù)底線,是確保絕對(duì)的生產(chǎn)穩(wěn)定。對(duì)于會(huì)造成重大生產(chǎn)安全事故的威脅,要完全阻斷;對(duì)于不會(huì)產(chǎn)生重大事故,但是會(huì)對(duì)生產(chǎn)產(chǎn)生一定影響的,要采取相匹配的措施;而有安全隱患卻不會(huì)對(duì)生產(chǎn)安全造成影響的,在起步階段,可以選擇有意忽略。因此,安全落地的第一步,是先對(duì)生產(chǎn)安全有影響的威脅采取相應(yīng)的措施,通過確定的正常業(yè)務(wù)模型,只允許正常流量交互,實(shí)現(xiàn)基本的安全防護(hù)。
在能確保生產(chǎn)安全的基礎(chǔ)上,有余力的工業(yè)企業(yè)就需要開始發(fā)現(xiàn)環(huán)境中潛在的威脅,以及對(duì)環(huán)境中的行為進(jìn)行審計(jì)。這個(gè)階段,檢測(cè)/審計(jì)類能力就進(jìn)入了落地階段。檢測(cè)/審計(jì)類能力能夠幫助防護(hù)類產(chǎn)品,達(dá)成更為精準(zhǔn)的防御效果。
安全服務(wù)應(yīng)該是持續(xù)進(jìn)行的。事實(shí)上,在工業(yè)企業(yè)部署防護(hù)產(chǎn)品階段,安全服務(wù)就已經(jīng)開始了——只是受限于當(dāng)前環(huán)境,大部分客戶依然沒有接受“服務(wù)收費(fèi)”的方式,許多服務(wù)(如產(chǎn)品部署的規(guī)劃咨詢、等保咨詢、安全防護(hù)工作等)會(huì)在初期隨著產(chǎn)品捆綁。但實(shí)際上,安全服務(wù)是貫穿整個(gè)工業(yè)互聯(lián)網(wǎng)安全周期的,從事前的等保咨詢、規(guī)劃部署,到安全防護(hù)、人員培養(yǎng),再到攻防演練,甚至設(shè)備、系統(tǒng)的驗(yàn)證等,都需要安全服務(wù)給整體的工業(yè)互聯(lián)網(wǎng)安全能力層層賦能。
在工業(yè)企業(yè)有大量的安全防護(hù)設(shè)備、檢測(cè)設(shè)備與審計(jì)設(shè)備之后,會(huì)面臨兩個(gè)問題:一是難以管理大量的安全設(shè)備與系統(tǒng),另一個(gè)是只能對(duì)單點(diǎn)或者部分區(qū)域的安全情況有所了解,無法全面把握整體安全的狀態(tài)。這個(gè)階段,就需要依靠安全管理平臺(tái)。對(duì)整體的安全能力進(jìn)行管理,同時(shí)基于大量的日志信息、流量信息,對(duì)整體的安全能力進(jìn)行把控。而安全服務(wù)在這一階段,又能通過安全管理平臺(tái),對(duì)企業(yè)工業(yè)互聯(lián)網(wǎng)整體進(jìn)行分析,發(fā)現(xiàn)潛在威脅,并基于當(dāng)前的業(yè)務(wù)與安全狀態(tài),提出提升安全態(tài)勢(shì)的方式。
當(dāng)企業(yè)、組織能整體統(tǒng)籌自身當(dāng)前的安全態(tài)勢(shì)時(shí),就可以開始為未來做一些預(yù)備工作,如方案的推演、內(nèi)部人才的進(jìn)一步培養(yǎng)、設(shè)備與系統(tǒng)的測(cè)試與驗(yàn)證等,這就需要一個(gè)模仿工業(yè)互聯(lián)網(wǎng)的虛擬環(huán)境——即工業(yè)靶場(chǎng)。對(duì)于企業(yè)、監(jiān)管機(jī)構(gòu)、與研究機(jī)構(gòu)而言,工業(yè)靶場(chǎng)不僅可以提供一個(gè)推演安全解決方案的虛擬環(huán)境,更可以通過工業(yè)靶場(chǎng)驗(yàn)證新的工業(yè)設(shè)備或者安全設(shè)備在自身環(huán)境的運(yùn)行情況。從更長(zhǎng)遠(yuǎn)往未來的角度來看,工業(yè)靶場(chǎng)還能對(duì)現(xiàn)有的設(shè)備、系統(tǒng)進(jìn)行研究分析,提前發(fā)現(xiàn)潛在的未知威脅。
以上是第一部分的內(nèi)容,下一次發(fā)布的內(nèi)容為工業(yè)互聯(lián)網(wǎng)安全防護(hù)能力、與工業(yè)互聯(lián)網(wǎng)安全檢測(cè)/審計(jì)能力(包括兩個(gè)領(lǐng)域的相關(guān)點(diǎn)陣圖與實(shí)踐案例)。
來源:數(shù)世咨詢